Pourquoi réaliser une évaluation des facteurs relatifs à la vie privée ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Une évaluation des facteurs relatifs à la vie privée (EFVP) est un processus utilisé pour protéger la vie privée dans la conception des processus lorsqu’une organisation crée ou acquiert une nouvelle entreprise, met en œuvre de nouveaux processus ou lance de nouveaux produits. En bref, il s’agit du processus qui détermine si un projet répond aux exigences en matière de protection de la vie privée et, le cas échéant, comment. Sources : 7,5]

L’analyse d’impact sur la protection des données (DPIA), également connue sous le nom d’analyse d’impact sur la protection des données (PIA), fait partie du règlement général sur la protection des données, qui a été introduit dans l’Union européenne (UE) en mai 2015 sous le nom de règlement sur la protection des données personnelles. C’est le premier de ce type en Europe et l’un des rares pays à disposer d’un tel système. [Sources : 2,14,10]

Cela a servi de modèle pour reconnaître ultérieurement la nécessité d’une analyse d’impact sur la protection des données, qui en l’occurrence est désormais exigée par le règlement général sur la protection des données (RGPD). Le GDPR stipule que l’analyse d’impact sur la protection des données devient une procédure obligatoire lorsque les données personnelles sont traitées d’une manière qui « dépasse les attentes raisonnables en matière de vie privée et entraîne un risque élevé pour les droits et libertés des personnes ». Sources : 1,6]

Par exemple, la loi sur l’administration en ligne de 2002 exige que les agences fédérales américaines procèdent à une évaluation des incidences sur la vie privée (PIA). Pour déterminer si une PIA est nécessaire, il est utile de remplir la feuille de travail pour l’analyse préliminaire de la protection des données qui est également jointe. Cela vous donne un aperçu de certaines des étapes que vous pouvez suivre lorsque vous remplissez votre modèle d’évaluation des incidences sur la vie privée et lorsque vous effectuez une évaluation préliminaire de la protection des données. Vous trouverez des exemples de l’analyse d’impact sur la protection des données 2 et 3 ici et ici, ainsi que les analyses d’impact sur la protection des données. [Sources : 13,12,13,13]

Effectuez une évaluation de l’impact sur la vie privée avant de rejoindre un programme de protection de la vie privée et de travailler à la mise en œuvre du module d’évaluation de l’impact sur la vie privée. Vous pouvez effectuer une évaluation de l’impact sur la vie privée avant de vous joindre à un programme de protection de la vie privée et de travailler à la mise en œuvre du module d’évaluation de l’impact sur la vie privée ou après avoir participé aux programmes de protection de la vie privée et travaillé à la mise en œuvre de vos modules d’évaluation de l’impact sur la vie privée. [Sources : 15,15]

Recherchez des modèles et des outils d’ÉFVP que vous pouvez utiliser pour simplifier ce processus et vous fournir un emplacement central où vos données peuvent être stockées et récupérées pour l’évaluation de la protection de la vie privée. Utilisez un outil d’évaluation des incidences sur la vie privée, tel que la boîte à outils pour l’évaluation des incidences sur la vie privée, pour modifier la façon dont vous recueillez, utilisez et partagez vos informations personnelles concernant des projets qui font déjà l’objet d’une évaluation des incidences. Par exemple, si vous collectez des données sur les activités de vos utilisateurs sur les médias sociaux et sur leurs profils de médias sociaux, vous devrez procéder à une évaluation d’impact sur la protection des données. Un exemple d’évaluation de l’impact sur la vie privée – y compris l’évaluation du seuil de confidentialité – serait une organisation lançant une nouvelle campagne de relations publiques sur les médias sociaux. Sources : 13,8,13,13].

Par exemple, l’introduction d’une évaluation des incidences sur la vie privée (PIA) par l’Information Commissioner’s Office (ICO) est une excellente approche. Si vous introduisez un nouveau programme de gestion de la relation client qui collecte les informations personnelles des clients, vous devriez évaluer le risque en utilisant une évaluation des incidences sur la vie privée. Sources : 13,2]

Si vous réalisez une évaluation d’impact rapide qui ne dure pas plus d’une demi-heure, vous aurez une idée de ce qu’est une évaluation d’impact sur la protection des données. Une évaluation de l’impact sur la vie privée doit être réalisée dans un court laps de temps, généralement pas plus de quelques jours. Sources : 15]

Si vous êtes à la recherche d’un modèle ou d’un outil pour l’évaluation de l’impact sur la protection des données, vous devriez considérer le kit d’évaluation d’impact de l’AGS. L’AGS propose également une première découverte pour déterminer la meilleure façon d’évaluer l’impact de la protection de la vie privée et des données sur votre organisation. Une fois que vous avez préparé un rapport d’évaluation d’impact sur la protection des données (PIA) complet, vous pouvez prendre l’une des premières mesures. Pour compiler les données du Pia (Data Protection Impact Assessment), il faut présenter le rapport en deux parties : la découverte initiale et le rapport final. Sources : 13,13,13,5]

Pour identifier correctement les zones à risque lors d’une évaluation d’impact sur la protection des données, vous devez cartographier le flux d’informations et le cycle de vie des données. Une fois le flux de données PII cartographié, il faut examiner les étapes de sécurité de ce processus avant de réaliser une PIA (évaluation d’impact sur la protection de la vie privée) afin d’identifier les zones présentant des vulnérabilités. Cette liste de contrôle est particulièrement utile lorsque vous travaillez avec d’autres personnes sur une évaluation des incidences sur la vie privée (Pia) ou avec une autre personne pour une évaluation des incidences sur la vie privée, car elle permet de garder tout le monde sur la même longueur d’onde. Les outils qui initient les assistants à la réalisation d’évaluations des incidences sur la vie privée peuvent également être d’une grande utilité si le besoin de pias se répète. [Sources : 13,13,13,6]

Clarip peut vous aider à renforcer votre programme de protection de la vie privée, que vous souhaitiez démarrer le processus avec l’automatisation du traitement des données GDPR, que vous ayez besoin d’un logiciel pour évaluer l’impact sur la vie privée ou que vous répondiez aux exigences d’ePrivacy avec un logiciel de gestion des cookies. Sources : 11]

Les évaluations d’impact sur la protection des données peuvent être utilisées pour identifier et atténuer les risques liés à la protection des données – risques connexes qui peuvent découler de nouveaux projets et affecter l’organisation ou les personnes avec lesquelles elle travaille. Les accords de confidentialité sont considérés à tort par les équipes de protection des données et de gestion des risques comme le même type d’évaluation, car ils sont de nature similaire à l’évaluation d’impact sur la vie privée (PIA) du GDPR. Bien que les deux soient et restent essentiels au programme de protection de la vie privée d’une entreprise, ils jouent des rôles différents au sein de votre organisation. Les accords de protection des données sont essentiels pour les programmes de protection des données, mais pas aussi importants que les évaluations d’impact sur la protection des données. [Sources : 9,4,0,3]

Sources:

  • [0] : https://www.americanbar.org/groups/litigation/committees/minority-trial-lawyer/practice/2018/your-clients-privacy-posture-need-for-privacy-impact-asseessment/
  • 1] : https://en.wikipedia.org/wiki/Privacy_Impact_Assessment
  • 2] : https://resources.infosecinstitute.com/topic/how-to-conduct-a-data-privacy-impact-assessment-in-2018/
  • [3] : https://blog.focal-point.com/understanding-the-differences-between-pias-and-the-gdprs-dpias
  • [4] : https://hitachi-systems-security.com/why-data-privacy-is-critical-for-your-business-part-i/
  • [5] : https://infopulse-scm.com/blog/blog-pia-or-dpia/
  • [6] : https://privaon.com/publications-news/white-papers/privacy-impact-assessment-pia/
  • [7] : https://legalvision.com.au/does-my-organisation-need-to-conduct-a-privacy-impact-assessment/
  • [8] : https://www2.gov.bc.ca/gov/content/governments/services-for-government/information-management-technology/privacy/privacy-impact-assessments
  • [9] : http://www.dataprotection.ie/en/organisations/know-your-obligations/data-protection-impact-assessments
  • [10] : https://www.avepoint.com/blog/protect/privacy-impact-assessment/
  • [11] : https://www.clarip.com/data-privacy/privacy-risk-assessment/
  • [12] : https://taskroom.sp.saskatchewan.ca/how-do-i/protect-privacy/privacy-impact-assessment
  • [13] : https://www.airiodion.com/privacy-impact-assessment/
  • [14] : https://gdpr-info.eu/issues/privacy-impact-assessment/
  • [15] : https://www.michalsons.com/focus-areas/privacy-and-data-protection/privacy-data-protection-impact-assessment